{"id":232841,"date":"2026-07-14T05:05:01","date_gmt":"2026-07-14T12:05:01","guid":{"rendered":"https:\/\/www.mcafee.com\/blogs\/?p=232841"},"modified":"2026-07-14T05:05:01","modified_gmt":"2026-07-14T12:05:01","slug":"crypto-clipper-sostituzione-wallet-malware-estensione-browser","status":"publish","type":"post","link":"https:\/\/www.mcafee.com\/blogs\/it-it\/internet-security\/crypto-clipper-sostituzione-wallet-malware-estensione-browser\/","title":{"rendered":"Scambio segreto: una campagna che sfrutta un\u2019estensione di tipo &#8220;crypto clipper&#8221;"},"content":{"rendered":"<p style=\"text-align: center;\"><em>di Neil Tyagi<\/em><\/p>\n<h2><b><span data-contrast=\"none\">Sintesi<\/span><\/b><span data-ccp-props=\"{\">\u00a0<\/span><\/h2>\n<p><span data-contrast=\"auto\">McAfee Advanced Threat Research ha individuato<strong> una campagna attiva basata su un&#8217;estensione del browser, concepita per rubare le criptovalute sostituendo di nascosto gli indirizzi dei portafogli digitali nel momento in cui un utente avvia una transazione<\/strong>. La campagna si diffonde tramite programmi non firmati (rilevati sia nella variante .NET sia Golang) che installano un\u2019estensione per Chromium dannosa, spacciandola per una innocua utilit\u00e0 chiamata \u201cGoogle Notes\u201d.<\/span><\/p>\n<p><span data-contrast=\"auto\">Questa campagna \u00e8 legata a quella di cui parlava un precedente articolo di McAfee Labs<\/span> dal titolo <a href=\"https:\/\/www.mcafee.com\/blogs\/other-blogs\/mcafee-labs\/sinkholing-countloader-insights-into-its-recent-campaign\/\" target=\"_blank\" rel=\"noopener\"><i><span data-contrast=\"none\">\u201cIl sinkholing di CountLoader: approfondimenti sulla sua recente campagna<\/span><\/i><span data-contrast=\"none\">\u201d<\/span><\/a><span data-contrast=\"auto\">,poich\u00e9 sembra che<\/span><span data-contrast=\"auto\"> entrambe<\/span><span data-contrast=\"auto\"> le operazioni siano opera dello stesso autore<\/span><span data-contrast=\"auto\">.<\/span><span data-contrast=\"auto\"> In quella precedente ricerca avevamo analizzato una carica virale di tipo \u201ccrypto clipper\u201d che veniva iniettata direttamente nella memoria. In questo articolo ne analizziamo una che opera come ultima fase: un\u2019estensione dannosa per browser, progettata per intercettare e manipolare le transazioni in criptovaluta.<\/span><\/p>\n<p><span data-contrast=\"auto\">In questo articolo spieghiamo in dettaglio come funziona l&#8217;estensione e forniamo un&#8217;analisi tecnica dei meccanismi che rendono questa minaccia particolarmente singolare. L&#8217;estensione funziona come uno strumento di crittografia che monitora gli appunti: tiene d&#8217;occhio le operazioni di copia e incolla, individua gli indirizzi dei portafogli (wallet) su diverse blockchain (catene a blocchi) e li sostituisce con indirizzi controllati dall&#8217;autore dell&#8217;attacco, appena prima che la vittima incolli il contenuto. Dato che la maggior parte delle transazioni su blockchain \u00e8 irreversibile, basta anche una sola esecuzione ininterrotta per causare una perdita economica permanente.<\/span><\/p>\n<p>Sono due <span data-contrast=\"auto\">le caratteristiche che distinguono questa campagna dalle tipiche minacce dei clipper:<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/p>\n<ol>\n<li><b><span data-contrast=\"auto\">Abuso del trust-layer (il &#8220;livello di fiducia&#8221;) di Chromium.<\/span><\/b><b><span data-contrast=\"auto\">\u00a0<\/span><\/b><span data-contrast=\"auto\">Il programma installa di nascosto un&#8217;estensione dannosa nei browser basati su Chromium, come Google Chrome, Brave e Microsoft Edge, modificando i file delle impostazioni protette del browser. Di solito, questi browser salvano i dati di verifica della sicurezza (valori hash\/HMAC) insieme alle impostazioni sensibili per rilevare eventuali modifiche non autorizzate<\/span><b><span data-contrast=\"auto\">.<\/span><\/b><b><span data-contrast=\"auto\">\u00a0<\/span><\/b><span data-contrast=\"auto\">Dopo aver manomesso i file, il malware ricalcola e aggiorna questi valori di sicurezza, inducendo cos\u00ec il browser a credere che l&#8217;estensione dannosa sia invece legittima. Questo permette all&#8217;estensione di aggirare la normale procedura di installazione dal negozio online e di caricarsi in modo silente senza l&#8217;autorizzazione dell&#8217;utente. Nelle versioni aggiornate dei browser Chrome ed Edge, affinch\u00e9 l&#8217;estensione si carichi correttamente la vittima deve attivare manualmente la modalit\u00e0 sviluppatore; chi invece utilizza versioni non aggiornate dei browser basati su Chromium rimane esposto a un rischio elevato. Comunque, per far abilitare la modalit\u00e0 sviluppatore nelle versioni pi\u00f9 recenti, l&#8217;aggressore pu\u00f2 ricorrere a tecniche di ingegneria sociale.<\/span><\/li>\n<li><span data-contrast=\"auto\"><strong>Sistema di comando e controllo basato su blockchain<\/strong>. Poich\u00e9 questa estensione non contiene un dominio di comando e controllo (C2) incorporato nel programma (hardcoded), interroga tramite RPC (chiamata di procedura remota) un endpoint di una blockchain pubblica, richiama in sola lettura un metodo di contratto intelligente (contratto che applica automaticamente le condizioni), infine decodifica la risposta nel momento dell&#8217;esecuzione per rivelare il suo C2 attivo, che \u00e8 risultato al momento dell\u2019analisi<\/span> <span data-contrast=\"none\">Zebregts[.]com <\/span><span data-contrast=\"auto\">. Questa tecnica, detta <strong>\u201cEtherHiding\u201d<\/strong>, complica gli sforzi di contrasto al crimine perch\u00e9 l\u2019autore dell\u2019attacco pu\u00f2 cambiare l\u2019infrastruttura aggiornando il valore di un contratto intelligente invece di ridistribuire il malware.<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<\/ol>\n<p>La <span class=\"TextRun SCXW228011278 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"auto\"><span class=\"NormalTextRun SCXW228011278 BCX0\">telemetria di McAfee<\/span><span class=\"NormalTextRun SCXW228011278 BCX0\"> indica<\/span><span class=\"NormalTextRun SCXW228011278 BCX0\"> che l&#8217;infezione \u00e8 distribuita nel mondo, ma con una forte concentrazione in India. Piuttosto che a un&#8217;operazione specifica per una determinata regione, l&#8217;ampiezza dell&#8217;area geografica fa pensare a <\/span><span class=\"NormalTextRun ContextualSpellingAndGrammarErrorV2Themed SCXW228011278 BCX0\">un approccio<\/span><span class=\"NormalTextRun SCXW228011278 BCX0\"> opportunistico rivolto agli utenti delle criptovalute.<\/span><\/span><span class=\"EOP Selected SCXW228011278 BCX0\" data-ccp-props=\"{}\">\u00a0<\/span><\/p>\n<h2><span class=\"TextRun SCXW20172865 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"none\"><span class=\"NormalTextRun SCXW20172865 BCX0\" data-ccp-parastyle=\"heading 2\">Diffusione geografica<\/span><\/span><span class=\"EOP Selected SCXW20172865 BCX0\" data-ccp-props=\"{\">\u00a0\u00a0<\/span><\/h2>\n<figure id=\"attachment_231885\" aria-describedby=\"caption-attachment-231885\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-231885\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.34.05\u202fPM-1024x574.png\" alt=\"Mappamondo con i Paesi colpiti da questa minaccia alla sicurezza informatica.\" width=\"1024\" height=\"574\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.34.05\u202fPM-1024x574.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.34.05\u202fPM-300x168.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.34.05\u202fPM-768x431.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.34.05\u202fPM-205x115.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.34.05\u202fPM.png 1462w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-231885\" class=\"wp-caption-text\">Le regioni del mondo pi\u00f9 colpite secondo la nostra ricerca.<\/figcaption><\/figure>\n<p><span class=\"TextRun SCXW160185877 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"auto\"><span class=\"NormalTextRun SCXW160185877 BCX0\">L&#8217;analisi dei dati telemetrici <\/span><span class=\"NormalTextRun SCXW160185877 BCX0\">indica <\/span><span class=\"NormalTextRun SCXW160185877 BCX0\">che <\/span><\/span><strong><span class=\"TextRun MacChromeBold SCXW160185877 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"auto\"><span class=\"NormalTextRun SCXW160185877 BCX0\">i contagi sono distribuiti<\/span><\/span><\/strong><span class=\"TextRun SCXW160185877 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"auto\"><span class=\"NormalTextRun SCXW160185877 BCX0\"> a livello globale, con una <\/span><\/span><span class=\"TextRun MacChromeBold SCXW160185877 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"auto\"><span class=\"NormalTextRun SCXW160185877 BCX0\">concentrazione significativamente <\/span><span class=\"NormalTextRun SCXW160185877 BCX0\">pi\u00f9 alta<\/span><span class=\"NormalTextRun SCXW160185877 BCX0\"> in India <\/span><\/span><span class=\"TextRun SCXW160185877 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"auto\"><span class=\"NormalTextRun SCXW160185877 BCX0\">rispetto alle altre regioni.<\/span><\/span><\/p>\n<p><span class=\"TextRun SCXW109407542 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"auto\"><span class=\"NormalTextRun SCXW109407542 BCX0\">L&#8217;ampiezza della sua presenza geografica mette in evidenza la vasta portata della campagna, il che fa pensare a un attacco opportunistico piuttosto che mirato a una regione specifica.<\/span><\/span><span class=\"EOP Selected SCXW109407542 BCX0\" data-ccp-props=\"{}\">\u00a0<\/span><\/p>\n<h2><span class=\"TextRun SCXW34834531 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"none\"><span class=\"NormalTextRun SCXW34834531 BCX0\" data-ccp-parastyle=\"heading 2\">L&#8217;estensione dannosa: \u201cGoogle Notes\u201d<\/span><\/span><span class=\"EOP Selected SCXW34834531 BCX0\" data-ccp-props=\"{\">\u00a0<\/span><\/h2>\n<p><span class=\"TextRun SCXW148697599 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"auto\"><span class=\"NormalTextRun SCXW148697599 BCX0\">Questo malware si camuffa come un&#8217;estensione <\/span><span class=\"NormalTextRun SCXW148697599 BCX0\">apparentemente innocua<\/span><span class=\"NormalTextRun SCXW148697599 BCX0\">: Google Notes.<\/span><\/span><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-231900\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.45.32\u202fPM-1024x818.png\" alt=\"Lestensione dannosa per Google Chrome.\" width=\"1024\" height=\"818\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.45.32\u202fPM-1024x818.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.45.32\u202fPM-300x240.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.45.32\u202fPM-768x614.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.45.32\u202fPM-1536x1228.png 1536w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.45.32\u202fPM-161x129.png 161w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.45.32\u202fPM.png 1554w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/p>\n<p><em>Figura 1. L&#8217;estensione dannosa al centro di questa campagna.<\/em><\/p>\n<p><span data-contrast=\"auto\">L&#8217;estensione si presenta come un&#8217;applicazione per fare annotazioni, dall&#8217;aspetto minimalista e apparentemente legittima, denominata \u201cGoogle Notes\u201d, completa di un&#8217;icona chiara e di un&#8217;interfaccia utente funzionale (e semplicistica).<\/span><\/p>\n<p><span data-contrast=\"auto\">La copertura \u00e8 ben studiata: un utente che apra manualmente l\u2019estensione trova che funziona proprio come promesso, il che smorza ogni sospetto. La logica dannosa dell&#8217;estensione \u00e8 implementata negli script dei service worker che funzionano in background e negli script di contenuto, che operano completamente al di fuori della vista dell&#8217;interfaccia utente.<\/span><\/p>\n<p><b><span data-contrast=\"auto\">Il primo grande campanello d&#8217;allarme suona gi\u00e0 quando si installa l&#8217;estensione, che richiede <\/span><\/b><b><span data-contrast=\"auto\">autorizzazioni <\/span><\/b><b><span data-contrast=\"auto\">di <\/span><\/b><b><span data-contrast=\"auto\">sicurezza e diritti di <\/span><\/b><b><span data-contrast=\"auto\">accesso <\/span><\/b><b><span data-contrast=\"auto\">sproporzionati per una <\/span><\/b><b><span data-contrast=\"auto\">semplice applicazione <\/span><\/b><b><span data-contrast=\"auto\">di annotazioni<\/span><\/b><strong>:<\/strong><\/p>\n<ul>\n<li><span data-contrast=\"auto\">accesso a tutti gli URL, che consente l&#8217;iniezione di script nei contenuti di ogni sito visitato dall&#8217;utente;<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">accesso alla cronologia di navigazione;<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">accesso in lettura e scrittura agli appunti.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<\/ul>\n<h2 aria-level=\"2\"><span data-contrast=\"none\">Misure di mitigazione e raccomandazioni<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/h2>\n<h3 aria-level=\"3\"><span data-contrast=\"none\">Per i consumatori<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/h3>\n<ol>\n<li><span data-contrast=\"auto\">Prima di confermare qualsiasi transazione in criptovaluta,<\/span><b><span data-contrast=\"auto\"> controlla visivamente che i primi e gli ultimi sei caratteri dell&#8217;indirizzo del destinatario <\/span><\/b><span data-contrast=\"auto\">corrispondano a quelli della fonte originale, meglio se su un dispositivo diverso.Questa semplice abitudine ti permette di sventare la stragrande maggioranza degli attacchi dei &#8220;clipper&#8221;.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><b><span data-contrast=\"auto\">Installa le estensioni del browser esclusivamente dal Chrome Web Store ufficiale<\/span><\/b><span data-contrast=\"auto\">, dal sito Componenti aggiuntivi di Edge o da piattaforme equivalenti. Un&#8217;estensione che compare nell&#8217;elenco di quelle installate senza che tu la ricordi chiaramente va considerata sospetta.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><b><span data-contrast=\"auto\">Controlla le autorizzazioni concesse a ogni estensione installata<\/span><\/b><span data-contrast=\"auto\">. Uno strumento per fare annotazioni non ha alcun motivo valido per accedere a tutti i siti web, alla cronologia di navigazione o agli appunti.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><b><span data-contrast=\"auto\">Evita di eseguire file eseguibili non firmati <\/span><\/b><span data-contrast=\"auto\">provenienti da fonti non autorevoli, in particolare quelle che offrono versioni gratuite o craccate di software a pagamento: sono infatti un vettore di diffusione molto comune per questa categoria di programmi di installazione.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><b><span data-contrast=\"auto\">Tieni aggiornate e attive le protezioni degli endpoint<\/span><\/b><span data-contrast=\"auto\">; i clienti McAfee sono protetti da questa specifica campagna, come descritto di seguito.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<\/ol>\n<h3 aria-level=\"3\"><span data-contrast=\"none\">Le soluzioni di sicurezza McAfee proteggono gli utenti su pi\u00f9 livelli<\/span><\/h3>\n<h4><b><span data-contrast=\"auto\">1. McAfee rileva questa minaccia come CryptoStealer.NE e garantisce la sicurezza dei clienti<\/span><\/b><span data-ccp-props=\"{}\">\u00a0<\/span><\/h4>\n<figure id=\"attachment_231915\" aria-describedby=\"caption-attachment-231915\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wpa-warning wpa-suspicious-alt size-large wp-image-231915\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.48.38\u202fPM-1024x513.png\" alt=\"Figura 2. McAfee Antivirus per gli utenti privati blocca questa minaccia. \" width=\"1024\" height=\"513\" data-warning=\"Suspicious alt text\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.48.38\u202fPM-1024x513.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.48.38\u202fPM-300x150.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.48.38\u202fPM-768x385.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.48.38\u202fPM-1536x770.png 1536w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.48.38\u202fPM-205x103.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.48.38\u202fPM.png 1608w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-231915\" class=\"wp-caption-text\"><em>Figura 2. McAfee Antivirus per gli utenti privati blocca questa minaccia.<\/em><\/figcaption><\/figure>\n<h4><b><span data-contrast=\"auto\">2. Protezione dagli scaricamenti dannosi<\/span><\/b><\/h4>\n<p><span data-contrast=\"auto\">Il comportamento del programma di installazione, che scarica ed esegue a distanza la carica virale, viene segnalato e bloccato da McAfee prima che l&#8217;infezione venga completata.<\/span><span data-contrast=\"auto\">\u00a0<\/span><span data-contrast=\"auto\">Nei nostri test, tutti i domini e gli URL dannosi sono stati bloccati da McAfee.<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/p>\n<h4><b><span data-contrast=\"auto\">3. Protezione della rete<\/span><\/b><\/h4>\n<p><span data-contrast=\"auto\">McAfee blocca le connessioni alle infrastrutture dannose note (i server di comando e controllo), impedendo l&#8217;acquisizione dell&#8217;indirizzo del portafogli digitale.<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/p>\n<h4><b><span data-contrast=\"auto\">4. Informazioni sulle minacce in tempo reale<\/span><\/b><\/h4>\n<p><span data-contrast=\"auto\">Poich\u00e9 questa minaccia \u00e8 stata identificata nella telemetria di McAfee, \u00e8 possibile mettere rapidamente in atto le protezioni per:<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/p>\n<ul>\n<li><span data-contrast=\"auto\">bloccare varianti simili;<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">individuare le infrastrutture correlate;<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">proteggere i clienti in tutto il mondo.<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<\/ul>\n<h1><span class=\"TextRun SCXW230324404 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"none\"><span class=\"NormalTextRun SCXW230324404 BCX0\" data-ccp-parastyle=\"heading 1\">Come funziona questa campagna di attacchi<\/span><\/span><span class=\"EOP Selected TrackedChange SCXW230324404 BCX0\" data-ccp-props=\"{\">\u00a0<\/span><\/h1>\n<h2 aria-level=\"2\"><span data-contrast=\"none\">Attivit\u00e0 del malware<\/span><span data-ccp-props=\"{\">\u00a0\u00a0<\/span><\/h2>\n<ol>\n<li><span data-contrast=\"auto\">Installa<\/span><span data-contrast=\"auto\"> un&#8217;estensione del browser in modo silente (caricamento laterale, o sideloading, dell&#8217;estensione web).<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Controlla ci\u00f2 che si copia e incolla (soprattutto gli indirizzi delle criptovalute).<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Funziona quando si effettua una transazione in criptovaluta.<\/span><\/li>\n<li><span data-contrast=\"auto\">Sostituisce di nascosto l&#8217;indirizzo del portafogli con quello dell&#8217;autore dell&#8217;attacco.<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Invia i soldi a quest&#8217;ultimo invece che al destinatario previsto.<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<\/ol>\n<p><span data-contrast=\"auto\">Dato che le transazioni in criptovaluta sono in genere <\/span><b><span data-contrast=\"auto\">irreversibili<\/span><\/b><span data-contrast=\"auto\">, <strong>le vittime possono perdere i propri fondi definitivamente.<\/strong><\/span><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-231930\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.52.11\u202fPM-1024x849.png\" alt=\"Figura 3. Come funziona lestensione, in poche parole. \" width=\"1024\" height=\"849\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.52.11\u202fPM-1024x849.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.52.11\u202fPM-300x249.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.52.11\u202fPM-768x637.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.52.11\u202fPM-156x129.png 156w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.52.11\u202fPM.png 1414w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/p>\n<p><em>Figura 3. Come funziona l&#8217;estensione, in poche parole.<\/em><\/p>\n<h2><span class=\"TextRun SCXW178309168 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"none\"><span class=\"NormalTextRun SCXW178309168 BCX0\" data-ccp-parastyle=\"heading 2\">Le principali capacit\u00e0 individuate<\/span><\/span><span class=\"EOP Selected SCXW178309168 BCX0\" data-ccp-props=\"{\">\u00a0<\/span><\/h2>\n<h3><span class=\"TextRun MacChromeBold SCXW263237166 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"auto\"><span class=\"NormalTextRun SCXW263237166 BCX0\">1. Installazione silente di un&#8217;estensione<\/span><\/span><span class=\"EOP Selected SCXW263237166 BCX0\" data-ccp-props=\"{}\">\u00a0<\/span><\/h3>\n<p><span data-contrast=\"auto\">Il malware non usa il negozio ufficiale del browser, ma modifica direttamente i file del browser stesso per installare l&#8217;estensione\u00a0(caricamento laterale o sideloading).<\/span><\/p>\n<p><span data-contrast=\"auto\"><span data-ccp-props=\"{}\">Questo aggira le normali richieste di sicurezza e la consapevolezza dell&#8217;utente.<\/span><span data-contrast=\"auto\">\u00a0<\/span><\/span><span data-ccp-props=\"{}\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-231945\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.56.11\u202fPM-1024x200.png\" alt=\"&lt;\/span Figura 4. Log di Procmon che mostrano BaseZipInstaller (programma di installazione web dannoso) mentre scrive nei file delle preferenze protette di Chrome ed Edge. Figura 4. Log di Procmon che mostrano BaseZipInstaller (programma di installazione web dannoso) mentre scrive nei file delle preferenze protette (Secure Preferences) di Chrome ed Edge.\" width=\"1024\" height=\"200\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.56.11\u202fPM-1024x200.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.56.11\u202fPM-300x59.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.56.11\u202fPM-768x150.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.56.11\u202fPM-1536x300.png 1536w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.56.11\u202fPM-205x40.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.56.11\u202fPM.png 1576w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/> <\/span><\/p>\n<h3><span class=\"TextRun MacChromeBold SCXW45645796 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"auto\"><span class=\"NormalTextRun SCXW45645796 BCX0\">2. Accesso completo al browser<\/span><\/span><span class=\"EOP Selected SCXW45645796 BCX0\" data-ccp-props=\"{}\">\u00a0<\/span><\/h3>\n<figure id=\"attachment_231962\" aria-describedby=\"caption-attachment-231962\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-231962\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.58.49\u202fPM-1024x403.png\" alt=\"Figura 5. Autorizzazioni richieste dallestensione per Chrome. \" width=\"1024\" height=\"403\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.58.49\u202fPM-1024x403.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.58.49\u202fPM-300x118.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.58.49\u202fPM-768x302.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.58.49\u202fPM-205x81.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-1.58.49\u202fPM.png 1184w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-231962\" class=\"wp-caption-text\"><em>Figura 5. Autorizzazioni richieste dall\u2019estensione per Chrome.<\/em><\/figcaption><\/figure>\n<figure id=\"attachment_231977\" aria-describedby=\"caption-attachment-231977\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-231977\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.06.09\u202fPM-1024x544.png\" alt=\"Figura 6. File manifest per lestensione web. \" width=\"1024\" height=\"544\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.06.09\u202fPM-1024x544.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.06.09\u202fPM-300x160.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.06.09\u202fPM-768x408.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.06.09\u202fPM-1536x817.png 1536w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.06.09\u202fPM-205x109.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.06.09\u202fPM.png 1610w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-231977\" class=\"wp-caption-text\"><em>Figura 6. File manifest per l\u2019estensione web.<\/em><\/figcaption><\/figure>\n<p><span data-contrast=\"auto\">L\u2019estensione dannosa richiede autorizzazioni eccessive, ad esempio:<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/p>\n<ul>\n<li><span data-contrast=\"auto\">accesso a tutti i siti web;<\/span><\/li>\n<li><span data-contrast=\"auto\">lettura della cronologia di navigazione;<\/span><\/li>\n<li><span data-contrast=\"auto\">lettura e modifica del contenuto degli appunti.<\/span><\/li>\n<\/ul>\n<h3><b><span data-contrast=\"auto\">3. Intercettazione di indirizzi delle criptovalute<\/span><\/b><\/h3>\n<p><span data-contrast=\"auto\">L&#8217;estensione contiene una logica per rilevare gli indirizzi dei portafogli in diverse criptovalute:<\/span><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-231992\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.07.40\u202fPM-1024x357.png\" alt=\"Figura 7. Espressione regolare incorporata per le criptovalute e indirizzo di riserva.\" width=\"1024\" height=\"357\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.07.40\u202fPM-1024x357.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.07.40\u202fPM-300x104.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.07.40\u202fPM-768x268.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.07.40\u202fPM-1536x535.png 1536w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.07.40\u202fPM-205x71.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.07.40\u202fPM.png 1602w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/p>\n<p><em>Figura 7. Espressioni regolari e indirizzi di riserva incorporati per le criptovalute.<\/em><\/p>\n<ul>\n<li><span data-contrast=\"auto\">Gli indirizzi dei portafogli di riserva indicati nel codice non vengono utilizzati per ogni transazione, ma fungono da meccanismo secondario nel caso in cui il recupero dinamico degli indirizzi dal server controllato dal pirata informatico non vada a buon fine.<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">In condizioni di funzionamento normale, l&#8217;estensione recupera gli indirizzi sostitutivi da un server remoto, consentendo l&#8217;assegnazione dinamica dei portafogli, potenzialmente su base individuale per ogni vittima.\u00a0<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Gli indirizzi di riserva garantiscono che l&#8217;attacco continui a funzionare anche se l&#8217;infrastruttura di comando e controllo \u00e8 temporaneamente indisponibile o bloccata.<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<\/ul>\n<figure id=\"attachment_232007\" aria-describedby=\"caption-attachment-232007\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-232007\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.08.43\u202fPM-1024x259.png\" alt=\"Figura 8. Estensione dannosa che risolve in modo dinamico gli indirizzi delle criptovalute. \" width=\"1024\" height=\"259\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.08.43\u202fPM-1024x259.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.08.43\u202fPM-300x76.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.08.43\u202fPM-768x194.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.08.43\u202fPM-1536x389.png 1536w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.08.43\u202fPM-205x52.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.08.43\u202fPM.png 1920w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-232007\" class=\"wp-caption-text\"><em>Figura 8. Estensione dannosa che risolve in modo dinamico gli indirizzi delle criptovalute.<\/em><\/figcaption><\/figure>\n<ul>\n<li><span data-contrast=\"auto\">Questa funzione serve a ottenere l&#8217;indirizzo del portafogli sostitutivo controllato dall&#8217;autore dell&#8217;attacco, corrispondente all&#8217;indirizzo originale della vittima.\u00a0<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Invia l&#8217;indirizzo del portafogli intercettato al backend del pirata informatico e usa la risposta per sostituire dinamicamente l&#8217;indirizzo originale.\u00a0<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Se la richiesta al backend fallisce, la funzione ricorre a un indirizzo predefinito e incorporato, garantendo cos\u00ec il proseguimento ininterrotto dell&#8217;attivit\u00e0 dannosa.<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">3J98t1Wxxxx \u00e8 l&#8217;indirizzo che \u00e8 stato copiato negli appunti.<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<\/ul>\n<h3><span class=\"TextRun MacChromeBold SCXW175329495 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"auto\"><span class=\"NormalTextRun SCXW175329495 BCX0\">4<\/span><span class=\"NormalTextRun SCXW175329495 BCX0\">.\u00a0<\/span><span class=\"NormalTextRun SCXW175329495 BCX0\">Elusione del rilevamento e invisibilit\u00e0<\/span><\/span><\/h3>\n<figure id=\"attachment_232022\" aria-describedby=\"caption-attachment-232022\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-232022\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.13.51\u202fPM-1024x476.png\" alt=\"Figura 8. Il file settings.js che mostra la configurazione. \" width=\"1024\" height=\"476\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.13.51\u202fPM-1024x476.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.13.51\u202fPM-300x139.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.13.51\u202fPM-768x357.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.13.51\u202fPM-1536x714.png 1536w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.13.51\u202fPM-205x95.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.13.51\u202fPM.png 1920w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-232022\" class=\"wp-caption-text\"><em>Figura 8B. Il file settings.js che mostra la configurazione.<\/em><\/figcaption><\/figure>\n<ul>\n<li><span data-contrast=\"auto\">La configurazione include una chiave API incorporata, che viene utilizzata dall&#8217;estensione per autenticare la comunicazione con l&#8217;infrastruttura controllata dall&#8217;autore dell&#8217;attacco.\u00a0<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Un URL RPC, che punta a un nodo di una blockchain pubblica, viene usato per recuperare in modo dinamico le informazioni sul server di backend, consentendo al criminale di nascondere infrastrutture critiche dietro sistemi decentralizzati.\u00a0<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">La presenza di un indirizzo e di un metodo relativi a un contratto intelligente indica che il malware recupera il proprio dominio di comando e controllo (C2) in modo indiretto tramite interrogazioni alla blockchain. Ci\u00f2 rende pi\u00f9 difficili sia lo smantellamento sia il tracciamento dell&#8217;attivit\u00e0 criminosa.<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">I domini nella lista nera sono un elenco di siti web di ispezione della blockchain nei quali l&#8217;estensione non funziona; l&#8217;elenco serve a non insospettire la vittima che sta incollando il proprio indirizzo per controllare il saldo del portafogli o per verificare le transazioni effettuate<\/span>.<span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<\/ul>\n<figure id=\"attachment_232037\" aria-describedby=\"caption-attachment-232037\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-232037\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.17.42\u202fPM-1024x425.png\" alt=\"Figura 9. Identificazione del dominio C2 dellautore dellattacco tramite contratto smart su Etherium (etherhiding). \" width=\"1024\" height=\"425\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.17.42\u202fPM-1024x425.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.17.42\u202fPM-300x124.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.17.42\u202fPM-768x318.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.17.42\u202fPM-1536x637.png 1536w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.17.42\u202fPM-205x85.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.17.42\u202fPM.png 1920w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-232037\" class=\"wp-caption-text\"><em>Figura 9. Identificazione del dominio C2 dell\u2019autore dell\u2019attacco tramite contratto <span data-contrast=\"auto\">intelligente <\/span>su Ethereum (etherhiding).<\/em><\/figcaption><\/figure>\n<figure id=\"attachment_232052\" aria-describedby=\"caption-attachment-232052\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-232052\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.19.26\u202fPM-1024x294.png\" alt=\"Figura 10. Payload della richiesta con lindirizzo del contratto Ethereum. \" width=\"1024\" height=\"294\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.19.26\u202fPM-1024x294.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.19.26\u202fPM-300x86.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.19.26\u202fPM-768x220.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.19.26\u202fPM-1536x441.png 1536w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.19.26\u202fPM-205x59.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.19.26\u202fPM.png 1920w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-232052\" class=\"wp-caption-text\"><em>Figura 10. Carica virale della richiesta con l&#8217;indirizzo del contratto Ethereum.<\/em><\/figcaption><\/figure>\n<ul>\n<li><span data-contrast=\"auto\">L&#8217;analisi dinamica rivela che il malware risolve il proprio dominio di comando e controllo tramite un contratto intelligente sulla blockchain il quale, durante l&#8217;esecuzione, ha restituito il dominio <\/span><b><i><span data-contrast=\"auto\">devops-offensive[.]cc<\/span><\/i><\/b><span data-contrast=\"auto\">.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">La risposta proveniente dalla blockchain viene decodificata durante l&#8217;esecuzione, rivelando il dominio C2 attivo (devops-offensive.cc).\u00a0<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Questo dominio non \u00e8 incorporato nel codice sorgente, il che permette all&#8217;autore dell&#8217;attacco di aggiornare l&#8217;infrastruttura senza modificare il malware.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Il dominio risolto viene memorizzato nella cache locale per garantire la persistenza e ridurre la ripetizione delle richieste in rete.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<\/ul>\n<figure id=\"attachment_232067\" aria-describedby=\"caption-attachment-232067\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wpa-warning wpa-suspicious-alt size-large wp-image-232067\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.21.03\u202fPM-1024x258.png\" alt=\"Figura 11. La stringa con codifica lunga che contiene il dominio dannoso. \" width=\"1024\" height=\"258\" data-warning=\"Suspicious alt text\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.21.03\u202fPM-1024x258.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.21.03\u202fPM-300x76.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.21.03\u202fPM-768x194.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.21.03\u202fPM-1536x387.png 1536w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.21.03\u202fPM-205x52.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.21.03\u202fPM.png 1920w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-232067\" class=\"wp-caption-text\"><em>Figura 11. La stringa con codifica lunga che contiene il dominio dannoso.<\/em><\/figcaption><\/figure>\n<p><span class=\"TextRun SCXW196653296 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"auto\"><span class=\"NormalTextRun SCXW196653296 BCX0\">La <\/span><\/span><span class=\"TextRun SCXW196653296 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"auto\"><span class=\"NormalTextRun SCXW196653296 BCX0\">stringa con codifica lunga viene decodificata usando questa <\/span><span class=\"NormalTextRun SCXW196653296 BCX0\">funzione<\/span><span class=\"NormalTextRun SCXW196653296 BCX0\"> per ottenere il dominio finale dell&#8217;autore dell&#8217;attacco.<\/span><\/span><\/p>\n<figure id=\"attachment_232082\" aria-describedby=\"caption-attachment-232082\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wpa-warning wpa-suspicious-alt size-large wp-image-232082\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.22.15\u202fPM-1024x252.png\" alt=\"Figura 12. Il dominio finale dellautore dellattacco \" width=\"1024\" height=\"252\" data-warning=\"Suspicious alt text\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.22.15\u202fPM-1024x252.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.22.15\u202fPM-300x74.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.22.15\u202fPM-768x189.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.22.15\u202fPM-1536x378.png 1536w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.22.15\u202fPM-205x51.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.22.15\u202fPM.png 1920w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-232082\" class=\"wp-caption-text\"><em>Figura 12. Il dominio finale dell&#8217;autore dell&#8217;attacco.<\/em><\/figcaption><\/figure>\n<h2><span class=\"TextRun SCXW127612542 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"none\"><span class=\"NormalTextRun SCXW127612542 BCX0\" data-ccp-parastyle=\"heading 2\">Tecniche di persistenza ed elusione<\/span><\/span><span class=\"EOP Selected SCXW127612542 BCX0\" data-ccp-props=\"{\">\u00a0<\/span><\/h2>\n<p><span class=\"TextRun SCXW32004784 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"auto\"><span class=\"NormalTextRun SCXW32004784 BCX0\">L&#8217;approccio della campagna, caratterizzato da persistenza e <\/span><span class=\"NormalTextRun ContextualSpellingAndGrammarErrorV2Themed SCXW32004784 BCX0\">capacit\u00e0 di eludere<\/span><span class=\"NormalTextRun SCXW32004784 BCX0\"> i controlli, \u00e8 intenzionale e articolato su pi\u00f9 livelli. L&#8217;operatore ha chiaramente <\/span><span class=\"NormalTextRun SpellingErrorV2Themed SCXW32004784 BCX0\">puntato<\/span><span class=\"NormalTextRun SCXW32004784 BCX0\"> su due caratteristiche: bassa visibilit\u00e0 per l&#8217;utente ed elevata resistenza contro smantellamento e analisi statica.<\/span><\/span><span class=\"EOP Selected TrackedChange SCXW32004784 BCX0\" data-ccp-props=\"{\">\u00a0<\/span><\/p>\n<h3 aria-level=\"3\"><span data-contrast=\"none\">Persistenza<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/h3>\n<ul>\n<li><span data-contrast=\"auto\">La registrazione dell&#8217;estensione tramite la manomissione delle preferenze protette garantisce che venga caricata a ogni successivo avvio del browser senza bisogno di alcun meccanismo ausiliario di persistenza in Windows: <\/span><b><i><span data-contrast=\"auto\">niente chiavi Run nel Registro di sistema, n\u00e9 attivit\u00e0 pianificate o servizi che chi va a caccia di endpoint di solito controlla.<\/span><\/i><\/b><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">La modalit\u00e0 sviluppatore viene abilitata a livello di programma quando necessario, consentendo alle estensioni decompresse di persistere senza attivare l&#8217;\u201cavviso sulle estensioni decompresse\u201d visualizzato periodicamente da Chromium per scoraggiare il caricamento laterale.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Il dominio C2 memorizzato nella cache permette all&#8217;estensione di continuare a funzionare con un backend di cui sa il funzionamento corretto, anche se l&#8217;endpoint RPC della blockchain dovesse risultare temporaneamente non disponibile.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<\/ul>\n<h3 aria-level=\"3\"><span data-contrast=\"none\">Elusione<\/span><\/h3>\n<ul>\n<li><span data-contrast=\"auto\">L&#8217;identit\u00e0 visibile dell&#8217;estensione, ossia una semplice app per fare annotazioni chiamata \u201cGoogle Notes\u201d, offre una copertura plausibile in caso l&#8217;utente consulti l&#8217;elenco delle estensioni installate.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">I valori HMAC ricalcolati<\/span><span data-contrast=\"auto\"> superano la verifica di integrit\u00e0 di Chromium, evitando cos\u00ec che compaia il banner di avviso \u201cestensione installata da una fonte sconosciuta\u201d che allerterebbe l\u2019utente.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Il programma di installazione si elimina automaticamente dopo l&#8217;esecuzione, rimuovendo cos\u00ec dal disco la traccia pi\u00f9 evidente della <\/span><span data-contrast=\"auto\">compromissione iniziale.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">La risoluzione del dominio C2 tramite una blockchain pubblica significa che nel pacchetto del malware non \u00e8 presente alcun dominio di comando e controllo persistente; i sistemi di rilevamento basati sulla rete, configurati per indicatori codificati nei programmi, non si attivano finch\u00e9 il dominio non viene risolto e contattato.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Le varianti multilinguaggio del programma di installazione (.NET e Golang) riducono l&#8217;efficacia delle firme degli artefatti di compilazione e delle funzionalit\u00e0 binarie.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">La sostituzione dinamica dei portafogli digitali per ogni indirizzo significa che gli indirizzi pubblicati degli aggressori diventano obsoleti rapidamente e non si trasformano in voci permanenti nella lista nera: chi si difende deve bloccare il servizio di backend stesso, non gli indirizzi da esso generati.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<\/ul>\n<h2><span class=\"TrackedChange SCXW175054041 BCX0\"><span class=\"TextRun SCXW175054041 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"none\"><span class=\"NormalTextRun SCXW175054041 BCX0\" data-ccp-parastyle=\"heading 2\">Logica di sostituzione del portafogli<\/span><\/span><\/span><\/h2>\n<p><span data-contrast=\"auto\">La logica del clipper si articola su due livelli: il livello dello script di contenuto, che monitora l&#8217;attivit\u00e0 degli appunti e i campi di inserimento DOM su ogni origine visitata; un livello in background che comunica con il backend dell&#8217;autore dell&#8217;attacco per recuperare gli indirizzi sostitutivi.<\/span><\/p>\n<p><span data-contrast=\"auto\">Quando l&#8217;estensione rileva un evento di copia, applica al contenuto degli appunti una serie di espressioni regolari specifiche per le criptovalute. Se trova una corrispondenza, l&#8217;indirizzo intercettato viene trasmesso al backend<\/span><span data-contrast=\"auto\">dell&#8217;autore dell&#8217;attacco<\/span><span data-contrast=\"auto\"> tramite una richiesta autenticata (con la chiave API incorporata nella configurazione). Il backend risponde con un indirizzo sostitutivo specifico per l&#8217;originale inviato, che viene inserito negli appunti sovrascrivendo quello legittimo prima che la vittima possa incollarlo.<\/span><\/p>\n<p><span data-contrast=\"auto\">I test effettuati su un client backend ricostruito (realizzato reimplementando in Python il formato delle richieste dell\u2019estensione e la sua logica di decodifica delle risposte) hanno fornito un profilo comportamentale rivelatorio:<\/span><\/p>\n<ul>\n<li><b><span data-contrast=\"auto\">Bitcoin<\/span><\/b><b><span data-contrast=\"auto\"> (BTC), Ethereum, Bitcoin Cash, Ripple e Dash: <\/span><\/b>ogni <span data-contrast=\"auto\">indirizzo inviato viene associato a un unico indirizzo controllato dall&#8217;autore dell&#8217;attacco. Inviando di nuovo lo stesso originale, si ottiene la stessa sostituzione, il che indica una associazione deterministica univoca gestita dal server.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><b><span data-contrast=\"auto\">Solana: <\/span><\/b><span data-contrast=\"auto\">tutti gli indirizzi inviati convergono su un unico indirizzo dell&#8217;autore dell&#8217;attacco, il che suggerisce che la funzione di associazione per ogni vittima sia implementata in modo selettivo a seconda della catena.<\/span><\/li>\n<\/ul>\n<h2><span class=\"TextRun SCXW166026346 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"none\"><span class=\"NormalTextRun SpellingErrorV2Themed SCXW166026346 BCX0\" data-ccp-parastyle=\"heading 2\">Analisi<\/span><span class=\"NormalTextRun SCXW166026346 BCX0\" data-ccp-parastyle=\"heading 2\"> dei portafogli di criptovalute degli aggressori<\/span><\/span><\/h2>\n<p><span data-contrast=\"auto\">Sulla base dei frammenti di codice dell&#8217;estensione web incaricata di recuperare gli indirizzi sostitutivi, \u00e8 stato creato uno script Python per estrarre a livello di programma gli indirizzi dei portafogli del pirata informatico. La carica virale \u00e8 stata creata utilizzando lo stesso codice del pirata, mentre il frammento &#8220;get replacement address&#8221; (&#8220;ottieni indirizzo sostitutivo&#8221;) \u00e8 stato copiato direttamente. Nello script \u00e8 stata fedelmente riprodotta anche la logica utilizzata dall&#8217;autore dell&#8217;attacco per decodificare i dati ricevuti dal server C2.<\/span><\/p>\n<p><span data-contrast=\"auto\">Lo script \u00e8 stato poi provato su alcuni indirizzi dei portafogli Bitcoin (BTC). I risultati hanno mostrato che, per ogni indirizzo Bitcoin fornito, veniva restituito in risposta un indirizzo Bitcoin univoco e tutti gli indirizzi restituiti erano portafogli BTC validi. Ci\u00f2 significa che, per ogni indirizzo BTC fornito, l&#8217;autore dell&#8217;attacco genera dinamicamente un nuovo portafogli legato a quello specifico indirizzo immesso. Inoltre, fornendo nuovamente lo stesso indirizzo, veniva restituito lo stesso indirizzo BTC, a conferma del fatto che <\/span><b><span data-contrast=\"auto\">l&#8217;indirizzo BTC di ciascuna vittima viene associato in modo deterministico a un singolo indirizzo specifico controllato dall&#8217;autore dell&#8217;attacco<\/span><\/b><span data-contrast=\"auto\">. Anche se alcuni dei portafogli illeciti contenevano fondi e altri erano vuoti, il fatto che il numero totale dei portafogli degli hacker sia sconosciuto rende difficile fare una stima attendibile dell&#8217;ammontare complessivo di criptovaluta rubata.<\/span><\/p>\n<p><span data-contrast=\"auto\">Lo stesso comportamento \u00e8 stato osservato anche per Ethereum, dove per ogni immissione venivano restituiti indirizzi di portafogli diversi. \u00c8 interessante notare che, quando lo script \u00e8 stato testato con indirizzi Solana, veniva restituito un solo indirizzo, indipendentemente dal numero di indirizzi diversi forniti. Questo fa pensare che l&#8217;autore dell&#8217;attacco abbia implementato la funzione di associazione per indirizzo solo per alcune criptovalute specifiche, mentre per le altre ricorra a un unico portafogli statico di raccolta. Dato che l&#8217;indirizzo Solana \u00e8 lo stesso per tutte le vittime, si nota un aumento evidente del suo saldo. Inoltre \u00e8 emerso che uno degli indirizzi Ethereum individuati conteneva fondi per un valore di circa 1902 USD.<\/span><\/p>\n<p><span data-contrast=\"auto\">In sintesi, le <strong>criptovalute<\/strong> per le quali vengono generati indirizzi di portafogli univoci per ogni vittima<strong> includono Bitcoin, Ethereum, Bitcoin Cash, Ripple e Dash.<\/strong><\/span><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-232098\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.28.41\u202fPM-1024x455.png\" alt=\"Figura 13. Payload creato come codice di attacco. \" width=\"1024\" height=\"455\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.28.41\u202fPM-1024x455.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.28.41\u202fPM-300x133.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.28.41\u202fPM-768x342.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.28.41\u202fPM-1536x683.png 1536w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.28.41\u202fPM-205x91.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.28.41\u202fPM.png 1920w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/p>\n<p><em>Figura 13. C<span data-contrast=\"none\">arica virale<\/span> creata come codice di attacco.<\/em><\/p>\n<figure id=\"attachment_232113\" aria-describedby=\"caption-attachment-232113\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-232113\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.29.33\u202fPM-1024x426.png\" alt=\"Figura 14. Frammento del codice di attacco con lindirizzo di sostituzione. \" width=\"1024\" height=\"426\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.29.33\u202fPM-1024x426.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.29.33\u202fPM-300x125.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.29.33\u202fPM-768x319.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.29.33\u202fPM-1536x638.png 1536w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.29.33\u202fPM-205x85.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.29.33\u202fPM.png 1920w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-232113\" class=\"wp-caption-text\"><em>Figura 14. Frammento del codice di attacco con l&#8217;indirizzo di sostituzione.<\/em><\/figcaption><\/figure>\n<figure id=\"attachment_232128\" aria-describedby=\"caption-attachment-232128\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-232128\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.30.24\u202fPM-1024x353.png\" alt=\"Figura 15. \u00c8 stata implementata anche la logica utilizzata dagli hacker per decodificare i dati ricevuti dal C2. \" width=\"1024\" height=\"353\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.30.24\u202fPM-1024x353.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.30.24\u202fPM-300x103.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.30.24\u202fPM-768x265.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.30.24\u202fPM-1536x530.png 1536w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.30.24\u202fPM-205x71.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.30.24\u202fPM.png 1920w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-232128\" class=\"wp-caption-text\">Figura 15. \u00c8 stata implementata anche la logica utilizzata dagli hacker per decodificare i dati ricevuti dal C2.<\/figcaption><\/figure>\n<p><span class=\"TextRun SCXW94149359 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"auto\"><span class=\"NormalTextRun SCXW94149359 BCX0\">Esecuzione <\/span><span class=\"NormalTextRun SCXW94149359 BCX0\">dello script con alcuni indirizzi di prova di portafogli Bitcoin<\/span><\/span><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-232143\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.31.31\u202fPM-1024x977.png\" alt=\"Figura 16. Per ogni indirizzo Bitcoin \u00e8 stato restituito un indirizzo Bitcoin univoco. Tutti sono indirizzi validi di portafogli BTC. \" width=\"1024\" height=\"977\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.31.31\u202fPM-1024x977.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.31.31\u202fPM-300x286.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.31.31\u202fPM-768x733.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.31.31\u202fPM-1536x1466.png 1536w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.31.31\u202fPM-135x129.png 135w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.31.31\u202fPM-24x24.png 24w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-22-at-2.31.31\u202fPM.png 1670w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/p>\n<p><em>Figura 16. Per ogni indirizzo Bitcoin \u00e8 stato restituito un indirizzo Bitcoin univoco. Tutti sono indirizzi validi di portafogli BTC.<\/em><\/p>\n<figure id=\"attachment_232161\" aria-describedby=\"caption-attachment-232161\" style=\"width: 992px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-232161\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.36.11\u202fPM.png\" alt=\"Figura 17. Analogamente, anche Ethereum ha restituito indirizzi univoci.\" width=\"992\" height=\"966\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.36.11\u202fPM.png 992w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.36.11\u202fPM-300x292.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.36.11\u202fPM-768x748.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.36.11\u202fPM-132x129.png 132w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.36.11\u202fPM-24x24.png 24w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.36.11\u202fPM-48x48.png 48w\" sizes=\"auto, (max-width: 992px) 100vw, 992px\" \/><figcaption id=\"caption-attachment-232161\" class=\"wp-caption-text\"><em>Figura 17. Analogamente, anche Ethereum ha restituito indirizzi univoci.<\/em><\/figcaption><\/figure>\n<figure id=\"attachment_232176\" aria-describedby=\"caption-attachment-232176\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-232176\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.38.00\u202fPM-1024x766.png\" alt=\"Figura 18: Esecuzione dello script per gli indirizzi Solana di prova. \" width=\"1024\" height=\"766\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.38.00\u202fPM-1024x766.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.38.00\u202fPM-300x224.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.38.00\u202fPM-768x575.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.38.00\u202fPM-172x129.png 172w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.38.00\u202fPM.png 1064w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-232176\" class=\"wp-caption-text\">Figura 18. Esecuzione dello script per gli indirizzi Solana di prova.<\/figcaption><\/figure>\n<p><span class=\"TextRun SCXW7609193 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"auto\"><span class=\"NormalTextRun SCXW7609193 BCX0\">Per fortuna, con Solana,<\/span><span class=\"NormalTextRun SCXW7609193 BCX0\"> quando si inseriscono pi\u00f9 indirizzi <\/span><span class=\"NormalTextRun SpellingErrorV2Themed SCXW7609193 BCX0\">ne viene restituito solo uno<\/span><span class=\"NormalTextRun SpellingErrorV2Themed SCXW7609193 BCX0\">.<\/span><span class=\"NormalTextRun SpellingErrorV2Themed SCXW7609193 BCX0\">Questo<\/span><span class=\"NormalTextRun SCXW7609193 BCX0\"> dimostra <\/span><span class=\"NormalTextRun ContextualSpellingAndGrammarErrorV2Themed SCXW7609193 BCX0\">che l&#8217;autore dell&#8217;attacco ha implementato la funzione di associazione degli indirizzi<\/span><span class=\"NormalTextRun SCXW7609193 BCX0\"> solo su alcune criptovalute specifiche<\/span><\/span>.<img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-232191\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.39.10\u202fPM-1024x401.png\" alt=\"Figura 19. Aumento nell\u2019importo del saldo.\" width=\"1024\" height=\"401\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.39.10\u202fPM-1024x401.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.39.10\u202fPM-300x118.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.39.10\u202fPM-768x301.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.39.10\u202fPM-205x80.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.39.10\u202fPM.png 1250w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/p>\n<p><em>Figura 19. Aumento nell\u2019importo del saldo.<\/em><\/p>\n<figure id=\"attachment_232206\" aria-describedby=\"caption-attachment-232206\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-232206\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.40.56\u202fPM-1024x580.png\" alt=\"Figura 20. Lindirizzo ETH \u00e8 risultato contenere 1902 USD. \" width=\"1024\" height=\"580\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.40.56\u202fPM-1024x580.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.40.56\u202fPM-300x170.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.40.56\u202fPM-768x435.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.40.56\u202fPM-205x116.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.40.56\u202fPM.png 1310w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-232206\" class=\"wp-caption-text\"><em>Figura 20. L&#8217;indirizzo ETH \u00e8 risultato contenere 1902 USD.<\/em><\/figcaption><\/figure>\n<h3><span class=\"TextRun SCXW154641437 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"none\"><span class=\"NormalTextRun SCXW154641437 BCX0\" data-ccp-parastyle=\"heading 3\">Analisi <\/span><span class=\"NormalTextRun SCXW154641437 BCX0\" data-ccp-parastyle=\"heading 3\">tecnica del <\/span><span class=\"NormalTextRun SpellingErrorV2Themed SCXW154641437 BCX0\" data-ccp-parastyle=\"heading 3\">file .net<\/span><span class=\"NormalTextRun SCXW154641437 BCX0\" data-ccp-parastyle=\"heading 3\"> (programma di installazione dell&#8217;estensione)<\/span><\/span><\/h3>\n<figure id=\"attachment_232222\" aria-describedby=\"caption-attachment-232222\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-232222\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.42.26\u202fPM-1024x817.png\" alt=\"Figura 21. BaseZipInstaller \u00e8 un programma di installazione .NET non firmato. \" width=\"1024\" height=\"817\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.42.26\u202fPM-1024x817.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.42.26\u202fPM-300x239.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.42.26\u202fPM-768x613.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.42.26\u202fPM-162x129.png 162w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.42.26\u202fPM.png 1268w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-232222\" class=\"wp-caption-text\"><em>Figura 21. BaseZipInstaller \u00e8 un programma di installazione .NET non firmato.<\/em><\/figcaption><\/figure>\n<figure id=\"attachment_232237\" aria-describedby=\"caption-attachment-232237\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-232237\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.47.28\u202fPM-1024x485.png\" alt=\"Figura 22. Configurazione memorizzata come si vede in Dnspy.\" width=\"1024\" height=\"485\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.47.28\u202fPM-1024x485.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.47.28\u202fPM-300x142.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.47.28\u202fPM-768x364.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.47.28\u202fPM-205x97.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.47.28\u202fPM.png 1274w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-232237\" class=\"wp-caption-text\"><em>Figura 22. Configurazione memorizzata come si vede in Dnspy.<\/em><\/figcaption><\/figure>\n<ul>\n<li><span data-contrast=\"auto\">Il malware incorpora un file JSON di configurazione completo direttamente all&#8217;interno del file binario, eliminando cos\u00ec la necessit\u00e0 di recuperare i dati di configurazione iniziali da fonti esterne.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">La configurazione incorporata include dettagli fondamentali come le chiavi API, l&#8217;URL del server di backend, le estensioni dei portafogli di destinazione e il manifesto completo delle estensioni con ampie autorizzazioni.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<\/ul>\n<figure id=\"attachment_232252\" aria-describedby=\"caption-attachment-232252\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-232252\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.48.57\u202fPM-1024x404.png\" alt=\"Figura 23. Funzione principale da cui parte lesecuzione. \" width=\"1024\" height=\"404\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.48.57\u202fPM-1024x404.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.48.57\u202fPM-300x118.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.48.57\u202fPM-768x303.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.48.57\u202fPM-205x81.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.48.57\u202fPM.png 1268w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-232252\" class=\"wp-caption-text\"><em>Figura 23. Funzione principale da cui parte l&#8217;esecuzione.<\/em><\/figcaption><\/figure>\n<ul>\n<li><span class=\"TextRun SCXW122609328 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"auto\"><span class=\"NormalTextRun SCXW122609328 BCX0\">Il programma di installazione recupera e <\/span><span class=\"NormalTextRun SCXW122609328 BCX0\">convalida<\/span><span class=\"NormalTextRun SCXW122609328 BCX0\"> un archivio ZIP remoto <\/span><span class=\"NormalTextRun SCXW122609328 BCX0\">(google-services<\/span><span class=\"NormalTextRun SCXW122609328 BCX0\">[<\/span><span class=\"NormalTextRun SCXW122609328 BCX0\">.<\/span><span class=\"NormalTextRun SCXW122609328 BCX0\">]<\/span><span class=\"NormalTextRun SCXW122609328 BCX0\">cc\/base<\/span><span class=\"NormalTextRun SCXW122609328 BCX0\">[<\/span><span class=\"NormalTextRun SCXW122609328 BCX0\">.<\/span><span class=\"NormalTextRun SCXW122609328 BCX0\">]<\/span><span class=\"NormalTextRun SCXW122609328 BCX0\">zip)<\/span>)<span class=\"NormalTextRun SCXW122609328 BCX0\">, che funge da principale carica virale per la distribuzione dell&#8217;estensione dannosa del browser. Segna cos\u00ec il passaggio dall&#8217;<\/span><span class=\"NormalTextRun SCXW122609328 BCX0\">infezione<\/span><span class=\"NormalTextRun SCXW122609328 BCX0\"> iniziale alla compromissione a livello di browser.<\/span><\/span><span class=\"EOP Selected SCXW122609328 BCX0\" data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<\/ul>\n<figure id=\"attachment_232267\" aria-describedby=\"caption-attachment-232267\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-232267\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.50.35\u202fPM-1024x367.png\" alt=\"Figura 24. Lestensione viene creata nella seguente posizione del sistema, con i file che sono stati scaricati come base.zip.\" width=\"1024\" height=\"367\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.50.35\u202fPM-1024x367.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.50.35\u202fPM-300x107.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.50.35\u202fPM-768x275.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.50.35\u202fPM-205x73.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.50.35\u202fPM.png 1284w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-232267\" class=\"wp-caption-text\"><em>Figura 24. L&#8217;estensione viene creata nella seguente posizione del sistema, con i file che sono stati scaricati come base.zip.<\/em><\/figcaption><\/figure>\n<figure id=\"attachment_232282\" aria-describedby=\"caption-attachment-232282\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-232282\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.53.08\u202fPM-1024x460.png\" alt=\"Figura 25. Dnspy che mostra lelenco dei browser presi di mira.\" width=\"1024\" height=\"460\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.53.08\u202fPM-1024x460.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.53.08\u202fPM-300x135.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.53.08\u202fPM-768x345.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.53.08\u202fPM-205x92.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.53.08\u202fPM.png 1268w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-232282\" class=\"wp-caption-text\"><em>Figura 25. Dnspy che mostra l&#8217;elenco dei browser presi di mira.<\/em><\/figcaption><\/figure>\n<ul>\n<li><span data-contrast=\"auto\">Il programma di installazione esegue una scansione di diversi browser basati su Chromium, tra cui Chrome, Edge, Opera e Brave, individuando i profili utente disponibili sul sistema.<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Per ogni profilo rilevato, il malware termina forzatamente il processo del browser per modificare in tutta sicurezza i file di configurazione senza interferenze.<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">A quel punto inietta l&#8217;estensione dannosa modificando direttamente i file &#8220;Secure Preferences&#8221; e &#8220;Preferences&#8221;, per consentire il caricamento dell&#8217;estensione senza alcun intervento da parte dell&#8217;utente.<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/li>\n<\/ul>\n<div class=\"wp-block-image\"><img loading=\"lazy\" decoding=\"async\" class=\"wpa-warning wpa-image-missing-alt aligncenter wp-image-232298 size-large\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.54.05\u202fPM-1024x637.png\" alt=\"Altro codice\" width=\"1024\" height=\"637\" data-warning=\"Missing alt text\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.54.05\u202fPM-1024x637.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.54.05\u202fPM-300x187.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.54.05\u202fPM-768x478.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.54.05\u202fPM-205x127.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.54.05\u202fPM.png 1280w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/div>\n<ul>\n<li><span data-contrast=\"auto\">Il malware individua i percorsi di installazione dei browser interrogando le directory di sistema standard. Riesce cos\u00ec a individuare le cartelle contenenti i dati degli utenti per Chrome, Edge, Opera e Brave.\u00a0<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Elenca sistematicamente i profili del browser e cerca in particolare la presenza del file &#8220;Secure Preferences&#8221;, che contiene dati fondamentali relativi alla configurazione del browser e alle estensioni.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Puntando ai profili con Secure Preferences, il malware si assicura di modificare solo gli ambienti del browser validi, aumentando l&#8217;affidabilit\u00e0 dell&#8217;iniezione dell&#8217;estensione.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<\/ul>\n<figure id=\"attachment_232313\" aria-describedby=\"caption-attachment-232313\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-232313\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.55.50\u202fPM-1024x208.png\" alt=\"Si pu\u00f2 notare levento \" width=\"1024\" height=\"208\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.55.50\u202fPM-1024x208.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.55.50\u202fPM-300x61.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.55.50\u202fPM-768x156.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.55.50\u202fPM-205x42.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.55.50\u202fPM.png 1140w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-232313\" class=\"wp-caption-text\"><em>Si pu\u00f2 notare l&#8217;evento &#8220;writefile&#8221; nei file delle preferenze protette di Chrome e MS Edge, con cui i dettagli dell&#8217;estensione scaricata vengono scritti in tali file di configurazione.<\/em><\/figcaption><\/figure>\n<figure id=\"attachment_232328\" aria-describedby=\"caption-attachment-232328\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-232328\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.56.45\u202fPM-1024x403.png\" alt=\"Figura 27. Logica utilizzata dallautore dellattacco per firmare nuovamente i file delle preferenze protette.\" width=\"1024\" height=\"403\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.56.45\u202fPM-1024x403.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.56.45\u202fPM-300x118.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.56.45\u202fPM-768x302.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.56.45\u202fPM-205x81.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.56.45\u202fPM.png 1276w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-232328\" class=\"wp-caption-text\"><em>Figura 27. Logica utilizzata dall&#8217;autore dell&#8217;attacco per firmare nuovamente i file delle preferenze protette.<\/em><\/figcaption><\/figure>\n<ul>\n<li><span data-contrast=\"auto\">Il malware legge e modifica il file delle preferenze protette del browser, che controlla le estensioni installate e il loro stato di affidabilit\u00e0.\u00a0<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Inserisce l&#8217;estensione dannosa nella configurazione e cerca di rifirmare i dati modificati, in modo che le modifiche appaiano legittime ai controlli di integrit\u00e0 del browser.\u00a0<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">La configurazione aggiornata viene quindi salvata nuovamente sul disco, assicurando che l&#8217;estensione venga caricata automaticamente e rimanga attiva anche dopo il riavvio del browser.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<\/ul>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-232343\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.58.03\u202fPM-1024x156.png\" alt=\"Figura 27B. Il percorso dellestensione viene aggiunto al file delle preferenze protette di Chrome.\" width=\"1024\" height=\"156\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.58.03\u202fPM-1024x156.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.58.03\u202fPM-300x46.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.58.03\u202fPM-768x117.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.58.03\u202fPM-205x31.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.58.03\u202fPM.png 1158w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/p>\n<p><em>Figura 27B. Il percorso dell&#8217;estensione viene aggiunto al file delle preferenze protette di Chrome.<\/em><\/p>\n<figure id=\"attachment_232358\" aria-describedby=\"caption-attachment-232358\" style=\"width: 968px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-232358\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.59.06\u202fPM.png\" alt=\"Figura 28. Logica per manipolare le difese del browser Brave. \" width=\"968\" height=\"560\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.59.06\u202fPM.png 968w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.59.06\u202fPM-300x174.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.59.06\u202fPM-768x444.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-2.59.06\u202fPM-205x119.png 205w\" sizes=\"auto, (max-width: 968px) 100vw, 968px\" \/><figcaption id=\"caption-attachment-232358\" class=\"wp-caption-text\"><em>Figura 28. Logica per manipolare le difese del browser Brave.<\/em><\/figcaption><\/figure>\n<ul>\n<li><span data-contrast=\"auto\">Per Brave e Opera, il malware inietta l&#8217;estensione dannosa direttamente nella configurazione del browser, aggiungendo voci nella sezione extensions.settings (oppure extensions.opsettings).<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Inoltre aggiorna i campi relativi all&#8217;integrit\u00e0 (protection.macs) per far s\u00ec che l&#8217;estensione iniettata risulti attendibile agli occhi del browser.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Infine il malware cerca di attivare la modalit\u00e0 sviluppatore a livello di programma, permettendo alle estensioni decompresse di funzionare con meno restrizioni.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<\/ul>\n<figure id=\"attachment_232373\" aria-describedby=\"caption-attachment-232373\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-232373\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-3.00.10\u202fPM-1024x704.png\" alt=\"Figura 29. Logica utilizzata dallautore dellattacco per ottenere lID del dispositivo, necessario per calcolare i valori di integrit\u00e0. \" width=\"1024\" height=\"704\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-3.00.10\u202fPM-1024x704.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-3.00.10\u202fPM-300x206.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-3.00.10\u202fPM-768x528.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-3.00.10\u202fPM-188x129.png 188w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-3.00.10\u202fPM.png 1272w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-232373\" class=\"wp-caption-text\"><em>Figura 29. Logica utilizzata dall&#8217;autore dell&#8217;attacco per ottenere l&#8217;ID del dispositivo, necessario per calcolare i valori di integrit\u00e0.<\/em><\/figcaption><\/figure>\n<ul>\n<li><span data-contrast=\"auto\">Il malware cerca di ricalcolare le firme di integrit\u00e0 del browser generando nuovi valori MAC (Message Authentication Code, codice di autenticazione del messaggio) per il file &#8220;Secure Preferences&#8221; modificato.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Per simulare il meccanismo di verifica interno di Chrome utilizza identificatori specifici del sistema, come il SID del computer, combinati con un valore iniziale.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Ricalcolando questi controlli di integrit\u00e0 (MAC e super_mac), il malware cerca di far sembrare legittime al browser le modifiche non autorizzate che ha apportato.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<\/ul>\n<figure id=\"attachment_232388\" aria-describedby=\"caption-attachment-232388\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-232388\" src=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-3.07.11\u202fPM-1024x507.png\" alt=\"Figura 30. Logica di autoeliminazione.\" width=\"1024\" height=\"507\" srcset=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-3.07.11\u202fPM-1024x507.png 1024w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-3.07.11\u202fPM-300x149.png 300w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-3.07.11\u202fPM-768x380.png 768w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-3.07.11\u202fPM-205x102.png 205w, https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2026\/06\/Screenshot-2026-06-23-at-3.07.11\u202fPM.png 1252w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-232388\" class=\"wp-caption-text\"><em>Figura 30. Logica di autoeliminazione.<\/em><\/figcaption><\/figure>\n<ul>\n<li><span data-contrast=\"auto\">Il malware include un meccanismo di autoeliminazione progettato per rimuovere il file eseguibile del programma di installazione una volta completata l&#8217;esecuzione.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Avvia un processo nascosto del prompt dei comandi che ritarda brevemente l&#8217;esecuzione prima di eliminare il file originale dal disco.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<\/ul>\n<h2 aria-level=\"2\"><span data-contrast=\"none\">Conclusioni<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/h2>\n<p><span data-contrast=\"auto\">Questa campagna illustra in modo chiaro la direzione che stanno prendendo i ladri di criptovaluta ai danni dei consumatori: prendere la categoria pi\u00f9 vecchia e semplice di malware crittografico, il &#8220;clipper&#8221;, per potenziarne indisturbati tre dei suoi anelli pi\u00f9 deboli. Gli indirizzi statici degli aggressori sono stati sostituiti con una associazione lato server, specifica per ogni vittima. I domini di comando e controllo, fragili e incorporati nel codice, sono stati sostituiti da una ricerca basata su blockchain che si pu\u00f2 alternare con una singola transazione. Inoltre, un altrettanto fragile dropper (un file che rilascia un virus) \u00e8 stato sostituito con un\u2019estensione di Chromium che risiede all\u2019interno dell\u2019applicazione a cui l&#8217;utente si affida di pi\u00f9, caricata sotto la firma di integrit\u00e0 del browser stesso.<\/span><\/p>\n<p><span data-contrast=\"auto\"><strong>McAfee continuer\u00e0 a monitorare questa campagna e l&#8217;infrastruttura a essa collegata<\/strong>. I nostri clienti, che sono protetti dai sistemi di rilevamento gi\u00e0 in uso, beneficeranno degli aggiornamenti basati sui dati telemetrici man mano che verranno identificate nuove varianti e rotazioni nell&#8217;infrastruttura.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/p>\n<h2><span class=\"TextRun MacChromeBold SCXW61108569 BCX0\" lang=\"EN-US\" xml:lang=\"EN-US\" data-contrast=\"none\"><span class=\"NormalTextRun SCXW61108569 BCX0\" data-ccp-parastyle=\"heading 1\">Indicatori di compromissione<\/span><\/span><span class=\"EOP Selected SCXW61108569 BCX0\" data-ccp-props=\"{\"> (IOC)<\/span><\/h2>\n<table style=\"font-weight: 400;\" data-tablestyle=\"MsoNormalTable\" data-tablelook=\"1184\" aria-rowcount=\"8\">\n<tbody>\n<tr aria-rowindex=\"1\">\n<td data-celllook=\"69905\"><b><span data-contrast=\"none\">Tipo<\/span><\/b><span data-ccp-props=\"{\">\u00a0<\/span><\/td>\n<td data-celllook=\"69905\"><b><span data-contrast=\"none\">Categoria<\/span><\/b><span data-ccp-props=\"{\">\u00a0<\/span><\/td>\n<td data-celllook=\"69905\"><b><span data-contrast=\"none\">Valore<\/span><\/b><span data-ccp-props=\"{\">\u00a0<\/span><\/td>\n<\/tr>\n<tr aria-rowindex=\"2\">\n<td data-celllook=\"69905\"><span data-contrast=\"none\">SHA-256<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/td>\n<td data-celllook=\"69905\"><span data-contrast=\"none\">Programma di installazione .NET (BaseZipInstaller)<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/td>\n<td data-celllook=\"69905\"><span data-contrast=\"none\">2735e12030c195fb5454e4736c51b55b59664b93cae9f4bd5317afcd9c2af0bf<\/span><span data-ccp-props=\"{\">\u00a0<\/span> <span data-contrast=\"none\">053620962047f50a91c6e8d1a6519eccc41fab51473f033086b4d816abe8bcb0<\/span><span data-ccp-props=\"{\">\u00a0<\/span> <span data-ccp-props=\"{\">\u00a0<\/span><\/td>\n<\/tr>\n<tr aria-rowindex=\"3\">\n<td data-celllook=\"69905\"><span data-contrast=\"none\">SHA-256<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/td>\n<td data-celllook=\"69905\"><span data-contrast=\"none\">Variante del programma di installazione compilato in Golang<\/span><\/td>\n<td data-celllook=\"69905\"><span data-contrast=\"auto\">11be4c47ff049322de41743f62544cafd32d67e24ad653b7ebedf8ebd63e0962\u2003\u2003<\/span><span data-ccp-props=\"{\">\u00a0<\/span> <span data-contrast=\"auto\">1432393691b415d0cd4680d9cee73e60896fbe63300d9f0355c96e91817e4b1d\u2003\u2003<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/td>\n<\/tr>\n<tr aria-rowindex=\"4\">\n<td data-celllook=\"69905\"><span data-contrast=\"none\">URL<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/td>\n<td data-celllook=\"69905\"><span data-contrast=\"none\">Distribuzione della carica virale<\/span><\/td>\n<td data-celllook=\"69905\"><span data-contrast=\"none\">hxxps:\/\/google-services[.]cc\/base[.]zip<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/td>\n<\/tr>\n<tr aria-rowindex=\"5\">\n<td data-celllook=\"69905\"><span data-contrast=\"none\">Dominio<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/td>\n<td data-celllook=\"69905\"><span data-contrast=\"none\">Comando e controllo (risolto tramite contratto intelligente)<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/td>\n<td data-celllook=\"69905\"><span data-contrast=\"none\">devops-offensive[.]cc<\/span> <span data-contrast=\"none\"> Zebregts[.]com<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/td>\n<\/tr>\n<tr aria-rowindex=\"6\">\n<td data-celllook=\"69905\"><span data-contrast=\"none\">Wallet BTC<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/td>\n<td data-celllook=\"69905\"><span data-contrast=\"none\">Portafogli della criptovaluta<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/td>\n<td data-celllook=\"69905\"><span data-contrast=\"none\">3JvDBvKbS6YYMKjV3R9e9Zfd67f467fNLy<\/span><span data-ccp-props=\"{\">\u00a0<\/span> <span data-contrast=\"none\">1BbhVBxpniuZuAL1gGZnEMdQhmz9JGWpyT<\/span><span data-ccp-props=\"{\">\u00a0<\/span> <span data-contrast=\"none\">3AcPNVh7NyESwX3ECymy3rkdH4Ke2c26Tj<\/span><span data-ccp-props=\"{\">\u00a0<\/span> <span data-contrast=\"none\">1BVTrB47erypG3tevi1U9Fv6BbNUBEiuiX<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/td>\n<\/tr>\n<tr aria-rowindex=\"7\">\n<td data-celllook=\"69905\"><span data-contrast=\"none\">Artefatto<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/td>\n<td data-celllook=\"69905\"><span data-contrast=\"none\">Destinazione del caricamento laterale<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/td>\n<td data-celllook=\"69905\"><span data-contrast=\"none\">File delle preferenze protette di Chromium (profili di Chrome, Edge, Brave e Opera)<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/td>\n<\/tr>\n<tr aria-rowindex=\"8\">\n<td data-celllook=\"69905\"><span data-contrast=\"none\">File dell&#8217;estensione<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/td>\n<td data-celllook=\"69905\"><span data-contrast=\"none\">manifest.json<\/span> <span data-ccp-props=\"{}\">\u00a0<\/span> <span data-contrast=\"none\">crypto-patterns.js<\/span><span data-ccp-props=\"{}\">\u00a0<\/span> <span data-ccp-props=\"{}\">\u00a0<\/span> <span data-contrast=\"none\">Interceptor.js<\/span><span data-ccp-props=\"{}\">\u00a0<\/span> <span data-ccp-props=\"{}\">\u00a0<\/span> <span data-contrast=\"none\">content-script.j<\/span> <span data-ccp-props=\"{}\">\u00a0<\/span> <span data-ccp-props=\"{}\">\u00a0<\/span> <span data-contrast=\"none\">cache.js<\/span> <span data-ccp-props=\"{}\">\u00a0<\/span> <span data-ccp-props=\"{}\">\u00a0<\/span> <span data-contrast=\"none\">domain-resolver.js<\/span><span data-ccp-props=\"{}\">\u00a0<\/span> <span data-ccp-props=\"{}\">\u00a0<\/span> <span data-contrast=\"none\">service-worker.js<\/span><span data-ccp-props=\"{}\">\u00a0<\/span> <span data-ccp-props=\"{}\">\u00a0<\/span> <span data-contrast=\"none\">api-client.js<\/span><span data-ccp-props=\"{}\">\u00a0<\/span><\/td>\n<td data-celllook=\"69905\"><span data-contrast=\"none\">ed2599d6a8f30d5eaf14ad7f855aece0acdf7efa4a148eb18e4d9f0d8e2cd90c<\/span> <span data-ccp-props=\"{}\">\u00a0<\/span> <span data-contrast=\"none\">daf82c67e8e5df6bbd5370172ac9374aa7dce48af05496e8ec3dba7b602c619b<\/span> <span data-ccp-props=\"{}\">\u00a0<\/span> <span data-contrast=\"none\">6eb2f07265dd95cacd39dfcf0705786b97f3e173cf4e9b3dfe7bad141c9a9dd5<\/span><span data-ccp-props=\"{}\">\u00a0<\/span> <span data-ccp-props=\"{}\">\u00a0<\/span> <span data-contrast=\"none\">a2ffdbedc5c9f5400a2b1cf5d35f5ec1df06a74d0345f1035bcf75d36ed73e01<\/span> <span data-ccp-props=\"{}\">\u00a0<\/span> <span data-ccp-props=\"{}\">\u00a0<\/span> <span data-contrast=\"none\">eb84ba4a0cd95655a021865d4fec93ae3393f86cc9848810ed0b49035b1c5e2c<\/span> <span data-ccp-props=\"{}\">\u00a0<\/span> <span data-contrast=\"none\">6aaba685669d779ef8be8f7f4231096cfafd0ef386f3897c5e2106c177724fc8<\/span> <span data-ccp-props=\"{}\">\u00a0<\/span> <span data-ccp-props=\"{}\">\u00a0<\/span> <span data-contrast=\"none\">2599064901308a97540af29197ed0b38702bbee38d6dbbfa61cf9eb5878353f3<\/span> <span data-ccp-props=\"{}\">\u00a0<\/span> <span data-contrast=\"none\">ab450927b37e1b68e2be68832c354ac600e86e2545a904d4ca0ea283f2600cc2<\/span> <span data-ccp-props=\"{}\">\u00a0<\/span> <span data-ccp-props=\"{}\">\u00a0<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>di Neil Tyagi Sintesi\u00a0 McAfee Advanced Threat Research ha individuato una campagna attiva basata su un&#8217;estensione del browser, concepita per&#8230;<\/p>\n","protected":false},"author":695,"featured_media":209107,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[11947],"tags":[],"coauthors":[16783],"class_list":["post-232841","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-internet-security"],"acf":[],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v25.4 - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>Scambio segreto: una campagna che sfrutta un\u2019estensione di tipo &quot;crypto clipper&quot; | Il blog di McAfee<\/title>\n<meta name=\"description\" content=\"Una campagna basata su un&#039;estensione del browser ruba le criptovalute sostituendo i portafogli digitali quando si avvia una transazione.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<meta property=\"og:locale\" content=\"it_IT\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Scambio segreto: una campagna che sfrutta un\u2019estensione di tipo &quot;crypto clipper&quot; | Il blog di McAfee\" \/>\n<meta property=\"og:description\" content=\"Una campagna basata su un&#039;estensione del browser ruba le criptovalute sostituendo i portafogli digitali quando si avvia una transazione.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.mcafee.com\/blogs\/it-it\/internet-security\/crypto-clipper-sostituzione-wallet-malware-estensione-browser\/\" \/>\n<meta property=\"og:site_name\" content=\"Il blog di McAfee\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/McAfee\/\" \/>\n<meta property=\"article:author\" content=\"https:\/\/www.facebook.com\/McAfee\/\" \/>\n<meta property=\"article:published_time\" content=\"2026-07-14T12:05:01+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2025\/02\/Thumb.jpeg\" \/>\n\t<meta property=\"og:image:width\" content=\"600\" \/>\n\t<meta property=\"og:image:height\" content=\"400\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"McAfee Labs\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:creator\" content=\"@McAfee_Labs\" \/>\n<meta name=\"twitter:site\" content=\"@McAfee\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"McAfee Labs\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"21 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/www.mcafee.com\/blogs\/it-it\/internet-security\/crypto-clipper-sostituzione-wallet-malware-estensione-browser\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/www.mcafee.com\/blogs\/it-it\/internet-security\/crypto-clipper-sostituzione-wallet-malware-estensione-browser\/\"},\"author\":{\"name\":\"McAfee Labs\",\"@id\":\"https:\/\/www.mcafee.com\/blogs\/it-it\/#\/schema\/person\/86f325fa6532a017d06d6b49a2f3b1ad\"},\"headline\":\"Scambio segreto: una campagna che sfrutta un\u2019estensione di tipo &#8220;crypto clipper&#8221;\",\"datePublished\":\"2026-07-14T12:05:01+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/www.mcafee.com\/blogs\/it-it\/internet-security\/crypto-clipper-sostituzione-wallet-malware-estensione-browser\/\"},\"wordCount\":4277,\"publisher\":{\"@id\":\"https:\/\/www.mcafee.com\/blogs\/it-it\/#organization\"},\"image\":{\"@id\":\"https:\/\/www.mcafee.com\/blogs\/it-it\/internet-security\/crypto-clipper-sostituzione-wallet-malware-estensione-browser\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2025\/02\/Thumb.jpeg\",\"articleSection\":[\"Sicurezza in Internet\"],\"inLanguage\":\"it-IT\"},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.mcafee.com\/blogs\/it-it\/internet-security\/crypto-clipper-sostituzione-wallet-malware-estensione-browser\/\",\"url\":\"https:\/\/www.mcafee.com\/blogs\/it-it\/internet-security\/crypto-clipper-sostituzione-wallet-malware-estensione-browser\/\",\"name\":\"Scambio segreto: una campagna che sfrutta un\u2019estensione di tipo \\\"crypto clipper\\\" | Il blog di McAfee\",\"isPartOf\":{\"@id\":\"https:\/\/www.mcafee.com\/blogs\/it-it\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/www.mcafee.com\/blogs\/it-it\/internet-security\/crypto-clipper-sostituzione-wallet-malware-estensione-browser\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/www.mcafee.com\/blogs\/it-it\/internet-security\/crypto-clipper-sostituzione-wallet-malware-estensione-browser\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2025\/02\/Thumb.jpeg\",\"datePublished\":\"2026-07-14T12:05:01+00:00\",\"description\":\"Una campagna basata su un'estensione del browser ruba le criptovalute sostituendo i portafogli digitali quando si avvia una transazione.\",\"breadcrumb\":{\"@id\":\"https:\/\/www.mcafee.com\/blogs\/it-it\/internet-security\/crypto-clipper-sostituzione-wallet-malware-estensione-browser\/#breadcrumb\"},\"inLanguage\":\"it-IT\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.mcafee.com\/blogs\/it-it\/internet-security\/crypto-clipper-sostituzione-wallet-malware-estensione-browser\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"it-IT\",\"@id\":\"https:\/\/www.mcafee.com\/blogs\/it-it\/internet-security\/crypto-clipper-sostituzione-wallet-malware-estensione-browser\/#primaryimage\",\"url\":\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2025\/02\/Thumb.jpeg\",\"contentUrl\":\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2025\/02\/Thumb.jpeg\",\"width\":600,\"height\":400},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/www.mcafee.com\/blogs\/it-it\/internet-security\/crypto-clipper-sostituzione-wallet-malware-estensione-browser\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Blog\",\"item\":\"https:\/\/www.mcafee.com\/blogs\/it-it\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Sicurezza in Internet\",\"item\":\"https:\/\/www.mcafee.com\/blogs\/it-it\/internet-security\/\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"Scambio segreto: una campagna che sfrutta un\u2019estensione di tipo &#8220;crypto clipper&#8221;\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.mcafee.com\/blogs\/it-it\/#website\",\"url\":\"https:\/\/www.mcafee.com\/blogs\/it-it\/\",\"name\":\"McAfee Blog\",\"description\":\"Notizie sulla sicurezza in Internet\",\"publisher\":{\"@id\":\"https:\/\/www.mcafee.com\/blogs\/it-it\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.mcafee.com\/blogs\/it-it\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"it-IT\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/www.mcafee.com\/blogs\/it-it\/#organization\",\"name\":\"McAfee\",\"url\":\"https:\/\/www.mcafee.com\/blogs\/it-it\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"it-IT\",\"@id\":\"https:\/\/www.mcafee.com\/blogs\/it-it\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2023\/02\/mcafee-logo.png\",\"contentUrl\":\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2023\/02\/mcafee-logo.png\",\"width\":1286,\"height\":336,\"caption\":\"McAfee\"},\"image\":{\"@id\":\"https:\/\/www.mcafee.com\/blogs\/it-it\/#\/schema\/logo\/image\/\"},\"sameAs\":[\"https:\/\/www.facebook.com\/McAfee\/\",\"https:\/\/x.com\/McAfee\",\"https:\/\/www.linkedin.com\/company\/mcafee\/\",\"https:\/\/www.youtube.com\/McAfee\"]},{\"@type\":\"Person\",\"@id\":\"https:\/\/www.mcafee.com\/blogs\/it-it\/#\/schema\/person\/86f325fa6532a017d06d6b49a2f3b1ad\",\"name\":\"McAfee Labs\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"it-IT\",\"@id\":\"https:\/\/www.mcafee.com\/blogs\/it-it\/#\/schema\/person\/image\/af947d76ffbef8521094b476cf8050c3\",\"url\":\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2017\/07\/Social-Media-PF-Logo-Pic-300x300-2-96x96.jpg\",\"contentUrl\":\"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2017\/07\/Social-Media-PF-Logo-Pic-300x300-2-96x96.jpg\",\"caption\":\"McAfee Labs\"},\"description\":\"McAfee Labs is one of the leading sources for threat research, threat intelligence, and cybersecurity thought leadership. See our blog posts below for more information.\",\"sameAs\":[\"https:\/\/www.linkedin.com\/company\/mcafee\/\",\"https:\/\/www.facebook.com\/McAfee\/\",\"https:\/\/x.com\/McAfee_Labs\"],\"url\":\"https:\/\/www.mcafee.com\/blogs\/it-it\/author\/mcafee-labs\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Scambio segreto: una campagna che sfrutta un\u2019estensione di tipo \"crypto clipper\" | Il blog di McAfee","description":"Una campagna basata su un'estensione del browser ruba le criptovalute sostituendo i portafogli digitali quando si avvia una transazione.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"og_locale":"it_IT","og_type":"article","og_title":"Scambio segreto: una campagna che sfrutta un\u2019estensione di tipo \"crypto clipper\" | Il blog di McAfee","og_description":"Una campagna basata su un'estensione del browser ruba le criptovalute sostituendo i portafogli digitali quando si avvia una transazione.","og_url":"https:\/\/www.mcafee.com\/blogs\/it-it\/internet-security\/crypto-clipper-sostituzione-wallet-malware-estensione-browser\/","og_site_name":"Il blog di McAfee","article_publisher":"https:\/\/www.facebook.com\/McAfee\/","article_author":"https:\/\/www.facebook.com\/McAfee\/","article_published_time":"2026-07-14T12:05:01+00:00","og_image":[{"width":600,"height":400,"url":"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2025\/02\/Thumb.jpeg","type":"image\/jpeg"}],"author":"McAfee Labs","twitter_card":"summary_large_image","twitter_creator":"@McAfee_Labs","twitter_site":"@McAfee","twitter_misc":{"Written by":"McAfee Labs","Est. reading time":"21 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.mcafee.com\/blogs\/it-it\/internet-security\/crypto-clipper-sostituzione-wallet-malware-estensione-browser\/#article","isPartOf":{"@id":"https:\/\/www.mcafee.com\/blogs\/it-it\/internet-security\/crypto-clipper-sostituzione-wallet-malware-estensione-browser\/"},"author":{"name":"McAfee Labs","@id":"https:\/\/www.mcafee.com\/blogs\/it-it\/#\/schema\/person\/86f325fa6532a017d06d6b49a2f3b1ad"},"headline":"Scambio segreto: una campagna che sfrutta un\u2019estensione di tipo &#8220;crypto clipper&#8221;","datePublished":"2026-07-14T12:05:01+00:00","mainEntityOfPage":{"@id":"https:\/\/www.mcafee.com\/blogs\/it-it\/internet-security\/crypto-clipper-sostituzione-wallet-malware-estensione-browser\/"},"wordCount":4277,"publisher":{"@id":"https:\/\/www.mcafee.com\/blogs\/it-it\/#organization"},"image":{"@id":"https:\/\/www.mcafee.com\/blogs\/it-it\/internet-security\/crypto-clipper-sostituzione-wallet-malware-estensione-browser\/#primaryimage"},"thumbnailUrl":"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2025\/02\/Thumb.jpeg","articleSection":["Sicurezza in Internet"],"inLanguage":"it-IT"},{"@type":"WebPage","@id":"https:\/\/www.mcafee.com\/blogs\/it-it\/internet-security\/crypto-clipper-sostituzione-wallet-malware-estensione-browser\/","url":"https:\/\/www.mcafee.com\/blogs\/it-it\/internet-security\/crypto-clipper-sostituzione-wallet-malware-estensione-browser\/","name":"Scambio segreto: una campagna che sfrutta un\u2019estensione di tipo \"crypto clipper\" | Il blog di McAfee","isPartOf":{"@id":"https:\/\/www.mcafee.com\/blogs\/it-it\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.mcafee.com\/blogs\/it-it\/internet-security\/crypto-clipper-sostituzione-wallet-malware-estensione-browser\/#primaryimage"},"image":{"@id":"https:\/\/www.mcafee.com\/blogs\/it-it\/internet-security\/crypto-clipper-sostituzione-wallet-malware-estensione-browser\/#primaryimage"},"thumbnailUrl":"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2025\/02\/Thumb.jpeg","datePublished":"2026-07-14T12:05:01+00:00","description":"Una campagna basata su un'estensione del browser ruba le criptovalute sostituendo i portafogli digitali quando si avvia una transazione.","breadcrumb":{"@id":"https:\/\/www.mcafee.com\/blogs\/it-it\/internet-security\/crypto-clipper-sostituzione-wallet-malware-estensione-browser\/#breadcrumb"},"inLanguage":"it-IT","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.mcafee.com\/blogs\/it-it\/internet-security\/crypto-clipper-sostituzione-wallet-malware-estensione-browser\/"]}]},{"@type":"ImageObject","inLanguage":"it-IT","@id":"https:\/\/www.mcafee.com\/blogs\/it-it\/internet-security\/crypto-clipper-sostituzione-wallet-malware-estensione-browser\/#primaryimage","url":"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2025\/02\/Thumb.jpeg","contentUrl":"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2025\/02\/Thumb.jpeg","width":600,"height":400},{"@type":"BreadcrumbList","@id":"https:\/\/www.mcafee.com\/blogs\/it-it\/internet-security\/crypto-clipper-sostituzione-wallet-malware-estensione-browser\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Blog","item":"https:\/\/www.mcafee.com\/blogs\/it-it\/"},{"@type":"ListItem","position":2,"name":"Sicurezza in Internet","item":"https:\/\/www.mcafee.com\/blogs\/it-it\/internet-security\/"},{"@type":"ListItem","position":3,"name":"Scambio segreto: una campagna che sfrutta un\u2019estensione di tipo &#8220;crypto clipper&#8221;"}]},{"@type":"WebSite","@id":"https:\/\/www.mcafee.com\/blogs\/it-it\/#website","url":"https:\/\/www.mcafee.com\/blogs\/it-it\/","name":"McAfee Blog","description":"Notizie sulla sicurezza in Internet","publisher":{"@id":"https:\/\/www.mcafee.com\/blogs\/it-it\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.mcafee.com\/blogs\/it-it\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"it-IT"},{"@type":"Organization","@id":"https:\/\/www.mcafee.com\/blogs\/it-it\/#organization","name":"McAfee","url":"https:\/\/www.mcafee.com\/blogs\/it-it\/","logo":{"@type":"ImageObject","inLanguage":"it-IT","@id":"https:\/\/www.mcafee.com\/blogs\/it-it\/#\/schema\/logo\/image\/","url":"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2023\/02\/mcafee-logo.png","contentUrl":"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2023\/02\/mcafee-logo.png","width":1286,"height":336,"caption":"McAfee"},"image":{"@id":"https:\/\/www.mcafee.com\/blogs\/it-it\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/McAfee\/","https:\/\/x.com\/McAfee","https:\/\/www.linkedin.com\/company\/mcafee\/","https:\/\/www.youtube.com\/McAfee"]},{"@type":"Person","@id":"https:\/\/www.mcafee.com\/blogs\/it-it\/#\/schema\/person\/86f325fa6532a017d06d6b49a2f3b1ad","name":"McAfee Labs","image":{"@type":"ImageObject","inLanguage":"it-IT","@id":"https:\/\/www.mcafee.com\/blogs\/it-it\/#\/schema\/person\/image\/af947d76ffbef8521094b476cf8050c3","url":"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2017\/07\/Social-Media-PF-Logo-Pic-300x300-2-96x96.jpg","contentUrl":"https:\/\/www.mcafee.com\/blogs\/wp-content\/uploads\/2017\/07\/Social-Media-PF-Logo-Pic-300x300-2-96x96.jpg","caption":"McAfee Labs"},"description":"McAfee Labs is one of the leading sources for threat research, threat intelligence, and cybersecurity thought leadership. See our blog posts below for more information.","sameAs":["https:\/\/www.linkedin.com\/company\/mcafee\/","https:\/\/www.facebook.com\/McAfee\/","https:\/\/x.com\/McAfee_Labs"],"url":"https:\/\/www.mcafee.com\/blogs\/it-it\/author\/mcafee-labs\/"}]}},"_links":{"self":[{"href":"https:\/\/www.mcafee.com\/blogs\/it-it\/wp-json\/wp\/v2\/posts\/232841","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.mcafee.com\/blogs\/it-it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mcafee.com\/blogs\/it-it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mcafee.com\/blogs\/it-it\/wp-json\/wp\/v2\/users\/695"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mcafee.com\/blogs\/it-it\/wp-json\/wp\/v2\/comments?post=232841"}],"version-history":[{"count":14,"href":"https:\/\/www.mcafee.com\/blogs\/it-it\/wp-json\/wp\/v2\/posts\/232841\/revisions"}],"predecessor-version":[{"id":232843,"href":"https:\/\/www.mcafee.com\/blogs\/it-it\/wp-json\/wp\/v2\/posts\/232841\/revisions\/232843"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.mcafee.com\/blogs\/it-it\/wp-json\/wp\/v2\/media\/209107"}],"wp:attachment":[{"href":"https:\/\/www.mcafee.com\/blogs\/it-it\/wp-json\/wp\/v2\/media?parent=232841"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mcafee.com\/blogs\/it-it\/wp-json\/wp\/v2\/categories?post=232841"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mcafee.com\/blogs\/it-it\/wp-json\/wp\/v2\/tags?post=232841"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.mcafee.com\/blogs\/it-it\/wp-json\/wp\/v2\/coauthors?post=232841"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}